Vem ansvarar för vad i ett personuppgiftsbiträdesavtal?

Se som Markdown
3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 24 september 2025
  1. Vanliga fallgropar vid personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal enligt GDPR ska tydligt reglera ansvarsfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde. Det är avgörande både för att uppfylla lagkraven och för att undvika gränsdragningsproblem vid frågor om ansvar, exempelvis vid incidenter.

Den personuppgiftsansvarige bestämmer ändamål och medel för behandlingen. Biträdet får endast behandla uppgifterna enligt dokumenterade instruktioner – inte på eget initiativ. Ett tydligt avtal blir centralt för att styra biträdet och för att visa att båda parter efterlever dataskyddsförordningens krav.

Biträdesavtalet ska bland annat reglera:

  • Vem som ansvarar för incidentrapportering.
  • Vilka säkerhetsåtgärder som ska vidtas.
  • Hur instruktioner ges och ändras under uppdragets gång.
  • Vad som ska ske med personuppgifter när uppdraget avslutas.

Vanliga fallgropar vid personuppgiftsbiträdesavtal

En vanlig fallgrop är att avtalet är för generellt formulerat och saknar anpassning till den specifika behandling som ska utföras. Det kan leda till att viktiga detaljer kring säkerhet, ansvar och rutiner för incidenthantering inte täcks. Ett annat problem är att parterna inte reglerar vilka underbiträden biträdet får anlita eller på vilka villkor. Utan klara villkor kan biträdet anlita aktörer som inte uppfyller kraven som behöver ställas på underbiträden, vilket ökar risken för bland annat personuppgiftsincidenter. Därför är det viktigt att både ansvarig och biträde noggrant granskar avtalet och ser till att det uppdateras när förutsättningarna ändras.

En annan vanlig brist är otydliga villker om hur och när den personuppgiftsansvarige får genomföra kontroller eller revisioner. GDPR kräver att biträdet ger tillgång till all information som behövs för att visa att kraven efterlevs, vilket inkluderar rätt till inspektion. Om detta inte är tydligt reglerat kan det uppstå tvister om tillsyn och insyn i biträdets interna processer. Det är också vanligt att avtal saknar en plan för hur personuppgifter ska raderas eller återlämnas när avtalet upphör. Detta steg är avgörande för att undvika obehörig behandling efter uppdragets slut.

För små och medelstora företag kan det vara utmanande att förhandla detaljerade biträdesavtal, särskilt om motparten är en större leverantör. Därför är det klokt att ta in juridiskt stöd redan när en förhandling inleds. En GDPR-specialist kan identifiera risker, föreslå skärpta villkor och anpassa språket så att avtalet blir praktiskt användbart. Detta minskar både affärsrisker och risken för sanktionsavgifter vid tillsyn. Morling Consulting erbjuder stöd i både förhandling, upprättande och löpande uppdatering av personuppgiftsbiträdesavtal för att säkerställa att företaget alltid har rätt skydd.

Otydliga eller ofullständiga avtal kan leda till att behandlingen anses ske i strid med GDPR. På Morling Consulting hjälper våra GDPR-jurister till att granska och tydliggöra ansvarsfördelningen i personuppgiftsbiträdesavtal.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer